标签: Windows

Adobe Flash曝零日漏洞 微软紧急发补丁

Adobe Flash 曾经是互联网的功臣,但不适应时代发展的它正在被放弃,只不过安全问题依然很严重,无论 Adobe 还是微软都不得不随时为它更新维护。今天,微软发布了一个编号 KB4074595 的新补丁,专门用于修复 Adobe Flash Player 中的最新 0-day 零日漏洞。 该漏洞存在于 Adobe Flash Player 28.0.0.161 之前的版本中,能让攻击者通过网络或邮件传播包含恶意Flash内容的Office文档,获得系统控制权、执行任意代码。 操作系统方面,除了 Windows 7 之外所有版本都受影响。 据韩国计算机紧急响应团队披露,这个漏洞至少从 2017 年 11 月中旬就被发现了,而且韩国已有人利用此漏洞发起攻击,主要针对与韩国与朝鲜合作的研究部门。 Adobe 也确认已经知晓此漏洞攻击,并建议用户立即升级最新版本 Flash Player 或者更新补丁。 稿源:cnBeta、快科技,封面源自网络

NSA 泄露的黑客工具被改良,适用于 Windows 2000 之后的所有版本

去年,黑客组织 Shadow Brokers 公布了美国国家安全局 NSA 的内部黑客工具和漏洞利用代码,包括三大工具 EternalChampion、EternalRomance 和 EternalSynergy,近日一位安全研究人员 Sean Dillon(RiskSense)  改良了这三大黑客工具的源代码,使其适用于 Windows 2000 之后 20 年间的所有微软操作系统,包括 32 位和 64 位版本。 Sean Dillon 网名为 @zerosum0x0 在推特上演示了改良后的代码在一个开源渗透测试框架 Metasploit Framework 的测试结果。测试结果显示,改良后的代码利用了 CVE-2017-0143 和 CVE-2017-0146 漏洞,在渗透框架中巨量未打补丁的 Windows 系统版本均可以被漏洞影响。zerosum0x0 还表示将尽快在 GitHub 上释出可执行的代码 稿源:cnBeta,封面源自网络

挖矿蠕虫 WannaMine:通过 NSA “永恒之蓝” 漏洞传播高级加密矿工

外媒 2 月1 日报道,安全公司 CrowdStrike 发现了一款名为 WannaMine 的新型 Monero 加密挖掘蠕虫,其利用与 NSA 相关的 EternalBlue (“ 永恒之蓝 ” )漏洞进行传播。据研究人员测试,WannaMine 能够感染从 Windows 2000 起的所有 Windows 系统(包括 64 位版本和 Windows Server 2003),并使其设备性能明显下降。 CrowdStrike 称目前一些矿业的日常运营已受到 WannaMine 影响,比如由于如此高的 CPU 利用率,导致矿业公司的系统以及应用程序崩溃。 研究人员经过分析后发现 WannaMine 的恶意代码十分复杂,因为它实现了一种类似于国家赞助的 APT 组织所使用的扩散机制和持久性模型。更详细地解释是:WannaMine 利用 Windows 管理工具( WMI )永久事件订阅来在受感染的系统上获得持久性。当注册一个永久事件订阅后,WannaMine 将在事件使用者中每 90 分钟执行一个 PowerShell 命令。 研究人员注意到,WannaMine 使用凭证收割机 Mimikatz 来收集用户凭据,从而达到横向移动的目的,但如果不能够横向移动的话,WannaMine 将更依赖于 EternalBlue 的利用。 相关报告: <Threat Hunting, the Investigation of Fileless Malware Attacks> 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Electron 框架现严重 RCE 漏洞影响 Windows 多个应用程序

外媒 1 月 24 日报道,流行软件构建框架 Electron 中存在一个严重的远程代码执行( RCE )漏洞(CVE-2018-1000006),可能会影响大量热门桌面应用程序,比如 Skype,Signal,Slack,GitHub Desktop,Twitch 和 WordPress.com 等。 Electron  表示目前只有 Windows 的应用程序会受到漏洞影响。 Electron 由 GitHub 团队开发,是一个基于 Node.js 和 Chromium 引擎的开源框架,允许应用程序开发人员使用 JavaScript、HTML 和 CSS 等 Web 技术为 Windows,MacOS 和 Linux 等构建跨平台的本地桌面应用程序。目前至少有 460 个跨平台桌面应用程序使用了 Electron 框架。 本周一,Electron 团队称其已在 Electron 框架中修补了该远程代码执行漏洞,并表示该漏洞只影响 Windows 应用程序, Mac 和 Linux 的应用不在影响范围内 。 据 Electron 团队介绍, 该远程代码执行漏洞影响使用自定义协议处理程序的电子应用程序。若这些基于 Electron 的应用程序将自身注册为处理自定义协议框架(如 myapp ://),并且无论协议是怎么注册的,都很可能会受到漏洞影响。( 例如使用本地代码、Windows注册表、Electron 框架的app.setAsDefaultProtocolClient API 等方式注册) 目前 Electron 开发者已经发布了两个新的框架版本来解决这个严重的漏洞,即 1.8.2-beta.4,1.7.11 和 1.6.16。如果由于某种原因导致无法升级 Electron 版本,那么可在调用 app.setAsDefaultProtocolClient 时将其作为最后一个参数追加,因为这样一来,可以有效防止 Chromium 解析更多的选项。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

网络现 Meltdown/Spectre 假升级:实为恶意软件

据外媒报道,Windows 用户现正沦为虚假 Meltdown 和 Spectre 升级的受害者。安全公司 Malwarebytes 警告称,假补丁虽然主要针对的是德国用户,但其非常容易被修改进而追踪到英文用户。这个虚假的 Meltdown 和 Spectre 升级文件是一个叫 Intel-AMD-SecurityPatch-10-1-v1 的 exe 文件,其在一个遭到网络攻击的主机上安装了 Smoke Loader。 Smoke Loader 则是一种恶意软件,它能打开更多有效载荷的门,而这些未来可被用到多种场合,包括窃取凭证和其他敏感数据。 Malwarebytes 解释称,一旦该恶意软件感染了电脑,那么它就会尝试连接到数个俄罗斯域名并向其发送加密信息。 而部有恶意补丁的网站链接跟其他恶意软件传播方式类似,比如电子邮件、短信等途径。所以对于用户们来说最好的办法就是通过官方网站下载,而不是任何第三方来源。微软已经就这两个漏洞发布了升级,并且已经随 Windows Update 推送或通过 Update Catalog 手动下载。 目前,反病毒解决方案正在开发中,但不管怎样作为用户最好是远离那些不能信任的内容以及未知来源。 稿源:cnBeta、封面源自网络;

RubyMiner 恶意软件入侵过时服务器挖掘加密货币

安全研究人员近期观察到一种在线部署的新型恶意软件 RubyMiner ——这是一种在被遗忘的网络服务器上发现的加密货币矿工 。据 Check Point 和 Certego 发布的研究结果以及研究员从 Ixia 收到的信息表明,攻击事件始于上周 1 月 9 日至 10 日。 攻击 Linux 和 Windows 服务器 Ixia 安全研究员 Stefan Tanase 指出,RubyMiner 的目标是 Windows 和 Linux 系统。恶意软件 RubyMiner 背后的团队使用一个名为 p0f 的 web 服务器指纹工具来扫描和识别运行过时软件的 Linux 和 Windows 服务器。一旦识别到未打补丁的服务器,攻击者就可以将已知的漏洞部署在易受攻击的服务器上,然后用 RubyMiner 来感染他们。 Check Point 和 Ixia 表示,他们已经观察到攻击者在最近的攻击浪潮中部署了以下漏洞: ◍ Ruby on Rails XML处理器 YAML 反序列化代码执行(CVE-2013-0156) ◍ PHP php-cgi 查询字符串参数代码执行(CVE-2012-1823;CVE-2012-2311; CVE-2012-2335;CVE -2012-2336;CVE-2013-4878) ◍ 微软 IIS ASP 脚本的源代码泄露(CVE-2005-2678 ) 攻击者将恶意代码隐藏在 robots.txt 文件中 在上周发布的一份报告中,Check Point 根据从 honeypot 服务器收集的数据,在 Linux 系统上分解了 RubyMiner 的感染例程,并从中认识到攻击者在某些方面的创造力: ▨ 可利用代码包含了一系列 shell 命令 ▨ 攻击者清除了所有的 cron 作业 ▨ 攻击者添加了一个新的计时 cron 作业 ▨ 新的 cron 作业下载了在线托管的脚本 ▨ 该脚本托管在多个域的 robots.txt 文件内 ▨ 脚本下载并安装合法的 XMRig Monero 矿工应用程序修改版本。 Check Point 安全研究员 Lotem Finkelstein 则表示,目前攻击者瞄准了 Windows IIS 服务器,但是并没有获得 RubyMiner 的 Windows 版本副本。此外 ,Check Point 称 2103 年的一起恶意软件活动部署了与 RubyMiner 相同的 Ruby on Rails 漏洞, Check Point 猜测其背后团队很可能正试图扩展 RubyMiner 。 Monero 采矿恶意软件的发展趋势日益明显 总体而言,近几个月来传播加密货币挖掘恶意软件的尝试有所增加,尤其是挖掘 Monero 的恶意软件。 除了密码劫持事件(也是 Monero )之外,2017 年的一些 Monero 挖掘恶意软件家族和僵尸网络还包括 Digmine、针对 WordPress 网站的未知僵尸网络、Hexmen、Loapi、Zealot、aterMiner、 针对 IIS 6.0 服务器的未知僵尸网络、CodeFork 以及 Bondnet 等。而就在 2018 年的前两个星期,已经出现了针对 Linux 服务器的 PyCryptoMiner 和另外一个针对 Oracle WebLogic 服务器的组织。大多数针对 Web 服务器的事件中,研究人员发现攻击者试图使用最近的漏洞攻击,因为会有更多易感染的机器。但奇怪的是,RubyMiner 攻击者却使用非常古老的漏洞,并且大多数安全软件都能检测到这些漏洞。 据研究员 Finkelstein 透露,RubyMiner 攻击者可能是故意寻找被遗弃的机器,比如被遗忘的个人电脑和带有旧操作系统的服务器 ,感染设备后确保在安全雷达下进行长时间的采矿。 RubyMiner 团伙已感染 700 多台服务器 根据 RubyMiner 恶意软件部署的自定义 XMRig 矿工中发现的钱包地址,Check Point 初步统计受到 RubyMiner 感染的服务器数量在 700 个左右,攻击者的收入约为  540  美元。一些专家认为若攻击者开始使用最近的漏洞,其幕后团队可能会赚取更多的钱。例如,一个从 2017 年 10 月开始针对 Oracle WebLogic 服务器的黑客组织就曾获利 226,000 美元 。 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

为正常接收安全更新 各大杀毒软件公司将需重置注册表项

据外媒报道,微软最新针对 Meltdown 和 Spectre 推送的 Windows 安全更新看起来比以往更容易引发问题。上周,这家公司向 Windows 用户发出警告,由于某些版本的杀毒软件存在问题,所以其推送的安全更新仅适用于杀毒软件 ISV 已经更新了 ” ALLOW REGKEY ” 的设备。 正如微软所说的那样,一些使用问题杀毒软件的 Windows 用户无法接收到安全更新,包括今日推送的星期二补丁。微软在技术支持页面发布通告称: “ 除非所用杀毒软件开发商设置了以下注册表项: Key=“ HKEY_LOCAL_MACHINE ” Subkey=“ SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat ” Value= “ cadca5fe-87d3-4b96-b7fb-a231484277cc ” Type=“ REG_DWORD ” Data=”0x00000000” 否则客户将不会收到 2018 年 1 月的安全更新(或任何后续安全更新)也将无法得到安全保护。” 在相关的 FAQ 中,微软解释称,它正在要求所有的杀毒软件开发商设置该注册表项以此来保护客户免遭蓝屏及其他错误情况。这家公司表示,他们现在正在跟各大杀毒软件供应商密切合作,不过这项工作可能需要一段时间。与此同时,微软也正在跟 AMD 合作希望尽快解决致 AMD 电脑变砖的问题。 稿源:cnBeta,封面源自网络;

谷歌:明年将开始禁止 Chrome 浏览器植入第三方软件

据外媒报道,谷歌近期宣布明年将在 Windows 端 Chrome 浏览器上禁止第三方软件植入的通知,减少 Windows 上由第三方软件引起的 Chrome 崩溃现象。谷歌指出,大约三分之二的 Windows 用户 在他们的电脑上有与 Chrome 进行交互的其他应用程序,例如可访问性或防病毒软件。 在 Chrome 扩展之前,第三方软件需要在 Chrome 中注入代码才能正常运行。由于使用注入代码软件,导致 Chrome 崩溃可能性高出 15%,谷歌现在计划在明年开始在 Windows 上阻止第三方代码注入。然而,阻止代码注入将分三个阶段进行 : 2018 年 4 月:Chrome 66 将在崩溃后向受影响的用户发出警告,提醒他们其他软件正在向 Chrome 注入代码并指导他们更新或删除该软件。 2018 年 7 月:Chrome 68 将开始阻止第三方软件将代码注入到 Windows 上的 Chrome 进程中。如果此阻止功能阻止 Chrome 启动,则浏览器将重新启动并允许注入,同时会显示一条警告,提醒用户删除该软件。 2019 年 1 月:Chrome 72 将最终不再支持软件植入。 值得注意的是,并非所有的第三方解决方案都将被阻止。谷歌承诺,Microsoft 签署的代码,协助有障碍人士进行浏览的功能软件和 IME 软件不会受到影响。另外,如果用户开发适用于 Chrome 的 Windows 软件,谷歌还公布了 Chrome Beta 供开发者们进行测试。 稿源:凤凰科技、太平洋电脑网,封面源自网络;编辑:青楚。

Windows 7/8.1 迎来 11 月更新汇总:修复诸多 BUG

据悉,微软在本月的补丁星期二活动中为 Windows 10 系统发布了更新,并也面向 Windows 7/8.1、Windows Server 2008/2012 发布了月度更新汇总。如果用户还在使用 WIndows 7 SP1 或者 Windows Server 2008 R2 SP1,那么可通过微软 Update Catalog 中下载 KB4048957 更新。  KB4048957 更新主要修复的内容如下: ● 修复了基于微软 JET Database 引擎(Microsoft Access 2007 以下版本或者其他非微软应用)的应用在创建和打开微软 Excel的.xls 文件出现错误的问题。错误提示信息为:“Unexpected error from external database driver (1). (Microsoft JET Database Engine)。” ● Microsoft Windows Search Component, Microsoft Graphics Component, Windows kernel-mode drivers, Windows Media Player和Windows kernel 的安全更新。 如果你正在使用 Windows 8.1 或者 Windows Server 2012 R2,那么你会获得 KB4048958 更新,包含的更新内容如下: ● 修复虚拟智能卡无法访问 Trusted Platform Module (TPM)的问题 ● 修复了基于微软 JET Database 引擎(Microsoft Access 2007 以下版本或者其他非微软应用)的应用在创建和打开微软 Excel 的 .xls 文件出现错误的问题。错误提示信息为:“Unexpected error from external database driver (1). (Microsoft JET Database Engine)。” ● 修复了 IE 浏览器使用更大字体时候出现崩溃的情况 ● 修复了导致 SharePoint Online 网站无法在 IE 浏览器中工作的情况 ● Microsoft Windows Search Component, Microsoft Graphics Component, Windows kernel-mode drivers, Windows Media Player和Windows kernel 的安全更新。 由于本次累积更新刚刚推出,目前尚不清楚是否出现“惯例”的无法安装问题,但是每次更新多少都会出现这样或者那样的问题。但坦白来说,首先微软服务面向的设备众多,而且在每次的累积更新中都经过了大量的测试,并努力地降低失败安装的比例。 稿源:cnBeta,封面源自网络;

Illusion Gap 漏洞曝光:恶意文件可绕过 Windows Defender 扫描

据外媒报道,网络安全公司 CyberArk 近期发布安全通告,宣称在服务信息模块(SMB)协议共享的 Windows Defender 文件扫描进程中发现一处安全漏洞 “ Illusion Gap ”,允许攻击者利用受控的恶意 SMB 服务诱导用户执行文件。 研究人员表示,Windows 系统通常会发出两个可执行拷贝的请求,其中一个触发程序并为此创建进程;第二则是用于 Windows Defender,用于扫描恶意内容。 然而,这就是问题所在。SMB 服务器能够区分两种请求,而通过受控的 SMB 服务器,攻击者能够通过配置发送两个完全不同的文件。这意味着 Windows PE Loader 能够接受恶意文件,而发送给 Windows Defender 是干净的。很显然,这种绕过漏洞在未来可能会衍生出更大的危害。 稿源:cnBeta,封面源自网络;